Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Criminelen hebben mogelijk adresgegevens van mogelijk 25.000 medewerkers en studenten van de Erasmus Universiteit in Rotterdam buitgemaakt. Ook informatie die mensen via webformulieren achterlieten is misschien in handen van de hackers.

ErasmusDe universiteit constateerde de hack afgelopen zondag. Op de server waar de hackers via de site toegang toe kregen stonden geen wachtwoorden van medewerkers en studenten, alleen adresgegevens, meldt de woordvoerster van de universiteit aan Tweakers. Via de webformulieren konden medewerkers en studenten bijvoorbeeld afspraken maken en zich op opleidingen en cursussen inschrijven. Ook die informatie is mogelijk ingezien. Onduidelijk is nog of de data daadwerkelijk weggesluisd is. Het onderzoek loopt nog.

Over de details van de hack kan universiteit nog niets zeggen, maar het onderwijsinstituut heeft direct na de ontdekking de webformulieren van de site offline gehaald, wat een aanwijzing is dat het bijvoorbeeld om een cross site scripting-aanval ging. De universiteit heeft een bedrijf in de arm genomen om onderzoek te doen naar de precieze oorzaak.

Daarnaast heeft de universiteit het incident gemeld bij de Autoriteit Persoonsgegevens en zal de onderwijsinstelling aangifte bij de politie doen. De universiteit benadrukt dat de sites van het ErasmusMC en de Rotterdam School of Management, RSM, niet getroffen zijn.

Moderatie-faq Wijzig weergave

Reacties (36)

view-source:http://www.eur.nl/security/

"This website is powered by TYPO3 - inspiring people to share!
TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL.
TYPO3 is copyright 1998-2012 [...]

<meta name="generator" content="TYPO3 4.4 CMS" />"

[Reactie gewijzigd door eindgebruiker op 10 november 2016 17:58]

4.5 heeft nog wel extended support mogelijkheden. 4.4 helaas niet.
Maar vergeet ook niet het groot aantal plugins/extensions dat verouderd kan zijn zonder update mogelijkheden.
Dat is heel vervelend dat de adresgegevens van de Erasmus studenten en medewerkers nu in handen zijn van onbekende criminelen, alleen vraag ik mij af: wat willen ze er mee gaan doen?
Het is niet alsof het allemaal strikt geheim moet zijn dat jij op die universiteit zit, of dat dat nou heel vervelend is dat het mogelijk op internet gepubliceerd word of dat ze anders los geld willen hebben ( chantage )

Waarschijnlijk is het een gevalletje let's see if I can hack this site
Voordoen alsof je student X bent.. en subsidies aanvragen en dan doorsluizen naar een andere rekening bv.. zijn wel meer dingen die irritant zijn. Voor erasmus projecten moet je redelijk veel informatie over jezelf en je financiŽle situatie geven...
Wat je een geheim adres hebt, gestalkt wordt door een ex, thuiswonend kind van een gezochte asielzoeker bent? Er zijn voldoende zeer zwaarwegende mogelijkheden denkbaar en met 25.000 adressen ook reŽel. Er dient gewoon zorgvuldig mee te worden omgegaan en de manie van gedwongen alles maar online dient te worden betwijfeld.
De gegevens kunnen gebruikt worden in fishing mails.
Je stuurt zogenaamd namens de universiteit een mailtje met het verzoek om in te loggen om je gegevens te bevestigen.
Hoe meer gegevens je mee kan zenden, des te betrouwbaarder lijkt het mailtje. Je kunt zelfs de prikkel om in te loggen groter maken door opzettelijk een fout in het huisnummer of postcode te maken.
Een link stuurt het slachtoffer naar een gespoofde inlogsite, waar ze na het ingeven van de inloggegevens met een foutmelding worden afgescheept. Vervolgens kan geprobeerd worden om met de opgegeven inloggegevens in te loggen bij bv. Facebook, Bol.com, etc.

Wanneer je ingevulde gegevens voor een afspraak buit gemaakt heb, kun je die ook gebruiken in je fishing mail. Bv. dat door een storing de tijden niet zijn geregistreerd en dat je in moet loggen om opnieuw de tijd door te geven.

Wanneer je de gegevens van genoeg mensen hebt zullen er genoeg mensen zijn die reageren en vaker dezelfde inloggegevens gebruiken.
Mij ontgaat de noodzaak om het complete adressenbestand online te zetten. En blijkbaar niet versleuteld ook nog eens een keer.
Wat ik uit de berichtgeving opmaak gaat het niet om per se om privť adressen van medewerkers / studenten maar om eventueel een adres waar je op kantoor zit voor de medewerkers, naam en emailadres:
Het gaat om persoonsgegevens die op de website staan zoals bijvoorbeeld de adresgids van medewerkers en studenten (waaronder namen en emailadressen), maar ook informatie die is achtergelaten via webformulieren. Bijvoorbeeld webformulieren voor aanmeldingen van cursussen, evenementen, afspraakverzoeken, ziek- en betermeldingen etc.
Bron: http://www.eur.nl/security/vragen_antwoorden/

En wellicht dus adressen die via webformulieren zijn achter gelaten maar ik weet niet of die daar Łberhaupt gevraagd zijn.

[Reactie gewijzigd door Shinji op 11 november 2016 16:22]

Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.

Al scheen er wel een opt-out mogelijkheid te bestaan, daar moest je voor betalen en dat noemden ze "geheim nummer".

[Reactie gewijzigd door bosbeetle op 10 november 2016 17:12]

Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.
Klopt, maar dat was in de tijd dat phising nog gewoon met een hengel, draadje en haakje ging ;)
Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.
Toen werd er amper misbruik gemaakt van die gegevens.
Vanaf het moment dat er wel misbruik ontstond is menigeen anders gaan handelen.
Niet meer opnemen, geen onbekende nummers accepteren, bel-me-niet-registers etc

Telefoonnummers kun je overigens nog altijd opzoeken.
Ergens wordt inderdaad dit hele gebeuren ook veel te groot opgeblazen.
Dit komt ook wel een beetje vanuit de naÔviteit. Ńlles digitaal is per definitie niet veilig en ga je nooit veilig krijgen.
Alles wat digitaal opgeslagen staat en op de een of andere manier aangesloten is.. moet je vanuit gaan dat het lekt.

Al in mijn jeugdigere jaren ging ik er bij voorbaat vanuit dat de TMF chats en al dat soort dingen ook al lang door andere mensen in te zien zijn. Ik ging ervan uit dat Šlles door een ander in te zien zou zijn.
Ermahgerd.
Nu maar hopen dat het zich gedigitaliseerd heeft en 'makkelijk' te gebruiken is als een soort database of zoekmachine? Dat zou helemŠŠl een gekkenhuis veroorzaken. Al die spam die bij je op de deurmat kan belanden.... :Y)

Misschien even een wake-up voor uni's om de beveiliging door ICT studenten (als opdracht voor extra punten? :P) te laten testen en te updaten?
Waar kun je eigenlijk je persoonlijke informatie kwijt in deze tijd zonder dat het mogelijk "gestolen" wordt?
Ik vraag me af wanneer ze eens iets van verantwoordelijkheid gaan krijgen voor persoonsgegevens, op dit moment is het gewoon veel te makkelijk om met zo een hack weg te komen als instelling.
In mei 2018, dan moeten bedrijven die persoonsgegevens bezitten en/of verwerken namelijk aan de GDPR (general data protection regulation) voldoen. Niet goed (als in veilig) omspringen met persoonsgegevens kan dat stevige boetes opleveren, tot 4% van de jaaromzet als ik me niet vergis.

Het zal nog wel enkele jaren, en enkele voorbeeldgevallen, kosten voordat je er echt resultaat van ziet, maar in het bedrijfsleven wordt toch best veel geÔnvesteerd om aan deze regelgeving te voldoen.
Hoe zou in zo'n geval de boete berekend worden? Een universiteit (of andere onderwijsinstelling) heeft geen winstoogmerk of jaaromzet. Er blijft aan het einde van het (fiscaal) jaar alleen wat over onder de streep als alles goed gaat, maar dat geld wordt meestal weer gebruikt om de kwaliteit van het onderwijs te verbeteren.
Omzet is iets anders dan winst. Een onderwijsinstelling heeft wel degelijk een omzet, anders zouden ze helemaal niks met geld doen. Bij een onderwijsinstelling gaat er geld in en er gaat geld uit, dus is er omzet. 4% maximaal daarvan afdragen voor een boete is zonde geld voor zo'n instelling die het beter aan het verbeteren van onderwijs kan besteden.
Die vraag heb ik al meerdere keren gesteld, maar beboeten kan het melden in de weg staan.
In dit geval gaat het om gegevens die vrij gemakkelijk zijn te achterhalen en daar de Universiteit die niet zelf heeft overhandigd voldoen ze aan de wet.
Toch zou er eens een plicht moeten komen om de privacy gevoelige informatie op een deugdelijke en beveiligde manier op te slaan.
Toch zou er eens een plicht moeten komen om de privacy gevoelige informatie op een deugdelijke en beveiligde manier op te slaan.
Die plicht is er al, alleen de controle daarop ontbreekt grotendeels. Controleren is ook moeilijk omdat alles zich afspeelt op servers van organisaties waar je als het goed is van buiten af geen toegang tot hebt. Eigenlijk zouden we inspecteurs rond moeten sturen, net zoals de brandweer gebouwen controleert op brandveiligheid.

Gegevens veilig opslaan is fundamenteel moeilijk want je applicatie moet er wel bij kunnen. Hoe goed je de database of de server ook beveiligd, als er een gat in de applicatie zit dan kan een aanvaller bij alle gegevens waar die applicatie bij kan.

In sommige gevallen kun je het oplossen door de toegang van de applicatie te koppelen aan de gebruiker. Je kunt de gegevens in de database bijvoorbeeld versleutelen met het wachtwoord van de gebruiker. Als een aanvaller dan toegang tot de applicatie of de database krijgt dan zijn de gegevens alsnog onleesbaar.
De wet stelt volgens mij alleen dat je de gegevens ZORGVULDIG op moet slaan en dat het niet is toegestaan om de gegevens aan derden te verstrekken. of derden toegang te verstrekken tot de gegevens die onder de wet op de privacy vallen.

Over een beveiliging kan ik niets terugvinden. Als derden (hackers) zich zonder toestemming toegang verschaffen is men daar ook niet voor verantwoordelijk.

Elke beveiliging heeft zwakke punten (oa de gebruikers zelf), maar vaak is de beveiliging gewoon afwezig. Ga maar eens naar een sportvereniging en 90% kans dat je het hele ledenbestand zo kan downloaden.
De wet stelt volgens mij alleen dat je de gegevens ZORGVULDIG op moet slaan (..) Over een beveiliging kan ik niets terugvinden.
Zo werkt de wet. De wet gaat niet in op de details. De wet zegt gewoon "zorgvuldig" en wat dat precies betekent moet je zelf maar bepalen aan de hand van de omstandigheden. Meestal betekent het dat je de data veilig moet opslaan. Het is onmogelijk om precies vast te leggen hoe je data moet beveiligen en hoe dat samenhangt met de omstandigheden. Dan zou je een heel boek over IT-beveiliging moeten toevoegen aan het wetboek, en waarschijnlijk is die informatie morgen al weer verouderd.
Daarom houdt de wet het simpel, de wet stelt dat je zorgvuldig moet zijn, en wat dat precies betekent ligt aan de context en de stand van zaken in de IT-beveiliging.
Mocht het ooit tot een rechtszaak komen dan zal een rechter bepalen of je zorgvuldig genoeg bent geweest of niet.
Er is al eens een rechtszaak geweest. Een leerling kon alle NAW gegeven van de medeleerlingen en docenten inzien en ťťn van de ouders heeft daar een rechtszaak van gemaakt. Volgens de rechter had de school de gegevens wel zorgvuldig opgeslagen. De leerling kon de gegevens immers niet veranderen, waardoor deze correct bleven. De leerling had ook niet de mogelijkheid om het complete bestand mee te nemen of te downloaden.

De rechter gaf de school wel de aanbeveling om te onderzoeken of het wellicht mogelijk was om de toegang voor de leerlingen te beperken tot hooguit de klasgenoten. Veder ging de school vrijuit.

Zorgvuldig opslaan werd dus uitgelegd als zo opslaan dat anderen het niet kunnen verwijderen of veranderen (analoog aan een papieren archief).
En die email die wordt niet opgeslagen?
Als je al ziet wat je kan met meta data en het herleiden naar een natuurlijke persoon denk ik dat het maar weinig uitmaakt voor degene die een beetje effort steekt in z'n hack. Zie bv
http://www.wsj.com/articl...when-name-isnt-1422558349

Alternatieven in digitale vorm waar je het over hebt, zoals bv Digid, kan natuurlijk ook gewoon gehacked worden. En dat is dan een single point of failure, of je daar nou echt mee opschiet...

[Reactie gewijzigd door jozuf op 10 november 2016 17:45]

En die email die wordt niet opgeslagen?
Als je al ziet wat je kan met meta data en het herleiden naar een natuurlijke persoon denk ik dat het maar weinig uitmaakt voor degene die een beetje effort steekt in z'n hack. Zie bv
http://www.wsj.com/articl...when-name-isnt-1422558349

Alternatieven in digitale vorm waar je het over hebt, zoals bv Digid, kan natuurlijk ook gewoon gehacked worden. En dat is dan een single point of failure, of je daar nou echt mee opschiet...
Email kun je echt ontzettend makkelijk veilig(er) maken door diensten als protonmail te gebruiken of een gewone email service die PGP ondersteund.
Software/Databases kan je ook onzettend makkelijk veilig(er) maken, what's your point?
Dit is geen oplossing, maar een alternatief, die wellicht niet dezelfde problemen heeft maar ook gewoon zijn issues kent...
Software/Databases kan je ook onzettend makkelijk veilig(er) maken, what's your point?
Dit is geen oplossing, maar een alternatief, die wellicht niet dezelfde problemen heeft maar ook gewoon zijn issues kent...
Probleem: lijsten/databases met persoonsgegevens worden regelmatig gejat van publieke instellingen en bedrijven.

Oplossing deel 1: zorg ervoor dat geen lijst met persoonsgegevens opgeslagen wordt op 1 centrale plek met een single point of failure.
Oplossing deel 2: zorg ervoor dat onnodige persoonsgegevens (lees: bijna alle persoonsgegevens) Łberhaupt niet opgeslagen worden waar dan ook maar.
Oplossing deel 3: gebruik een (goed beveiligd) gedistribueerd systeem voor communicatie waar geen single point of failure bestaat. Daarmee los je dus op dat bij een hack.: niet gelijk alle persoonsgegevens van een grote groep mensen buitgemaakt kan worden en als dan toch alle emails ingelezen worden er niet direct 1 op 1 zonder heel veel moeite koppelingen gemaakt kunnen worden tussen persoon en persoonsgegevens. Dat maakt de waarde van de gestolen data op de zwarte markt geringer en zorgt er dus voor dat het hacken ervan minder interessant is.
Je krijgt wel een -1 maar je hebt volkomen gelijk!

Als je bekijkt hoe ze de mensen hun gegevens EISEN bij sommige eenvoudige dingen.

- Wil je een computerspel spelen, moet je een volledig profiel aanmaken met naam en toenaam eer je het spel kŗn spelen.
- Wil je online iets bestellen dan MOET je meestal ook een profiel aanmaken, dit zogezegd om een betere dienstverlening te kunnen garanderen. Terwijl er gewoon een product van de ene locatie naar de andere moet verzonden worden. Dat kan ook gewoon zonder profiel met enkel je naam en adres.
-Zelfs voor extra garantie te krijgen ben je verplicht om je te registeren anders kan je fluiten naar de extra jaren (gratis) garantie.

Alsof iedereen nog naar een supermarkt zou gaan als je aan de kassa telkens je hele naam en adres zou moeten kenbaar maken vooraleer je mag afrekenen.

Ik ben er zeker van dat al onze gegevens zonder pardon worden doorverkocht ongeacht waar je ze achterlaat.
Hier in BelgiŽ verkopen de gemeentes de gegevens van hun inwoners ook door aan bedrijven. Om, nadat je verhuisd bent, geadresseerde post te krijgen van een verhuisfirma... (zelf meegemaakt).
En dan nog te zwijgen over de kans dat je gegevens worden buitgemaakt door een hack zoals in het artikel hierboven.
Het begint in elk geval bij het melden, waarbij bij elke mogelijke datalek er een meldplicht is ingevoerd. Doe je dat niet, dan zijn daar serieuze boetes aan verbonden. Dit is denk ik wel een goed begin.

https://autoriteitpersoon...ing/meldplicht-datalekken
"een aanwijzing is dat het bijvoorbeeld om een cross site scripting-aanval ging".

Ben ik nu gek of lijkt me dit eerder een geval SQL injection?
Dan zijn we samen gek. Als je 25.000 gegevens buit maakt met XSS dan ben je al een poos bezig met afluisteren via toegevoegde javascript. Zonder FTP toegang zal die JS alsnog met tweede graads SQL injectie zijn veroorzaakt overigens. Vergeet ook niet dat browsers XSS blokkeren tegenwoordig, de mainstream bezoeker pak je dan dus niet. Het lijkt me hier eerder om eerste graads SQL injectie te gaan. Mogelijk krijgen we dit nog te horen.

Edit: 2 downvotes? wat is er aan de hand? Ik ben het met Saven eens en leg ook uit waarom. Geheel ontopic en inhoudelijk. Kan iemand dit uitleggen?

[Reactie gewijzigd door ExIT op 11 november 2016 15:07]

Wel grappig dat ze nadrukkelijk zeggen dat hun huzarenstukjes in de rankings buiten schot zijn gebleven. Overigens netjes dat ze alles meteen gemeld hebben, ik heb andere ervaringen met deze universiteit wat betreft transparantie omtrent de rechten van studenten. (Lees: regelingen voor overgang van tientallen studenten achteraf intrekken wegens capaciteitsgebrek en bewijslast verwijderen van servers zodat diezelfde studenten opeens na een week na te zijn begonnen in het volgende jaar erachter komen dat ze zijn blijven zitten, en vervolgens niks hebben om op terug te vallen.)
Het staat wat vreemd, maar het is wel correct.
De eerste keer 'mogelijk' is dat er mogelijk gegevens zijn buitgemaakt. De tweede keer 'mogelijk' is dat het om gegevens van mogelijk 25.000 personen gaat.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True